編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

グーグルの社内バグトラッカーの深刻な問題を研究者が指摘

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2017-10-31 13:27

 Google社内の脆弱性追跡システムにおける一連の問題により、セキュリティ研究者がGoogleの重要かつ危険な脆弱性の情報にアクセスできる状態になっていたという。

 Googleが社内で利用している脆弱性などの報告システム「Issue Tracker」(Google社内では「Buganizer」と呼ばれている)は、セキュリティ研究者やバグ発見者が、Googleのソフトウェアやサービス、製品で見つかった問題やセキュリティ上の脆弱性情報を提出できるシステムだ。

 普通のユーザーがバグ追跡システムにアクセスすることは少ない。だがセキュリティ研究者のAlex Birsan氏は、Googleの社内メールアドレスをスプーフィングし、システムのバックエンドと多数のバグレポートにアクセスできることを発見した。バグレポートの中には、最も深刻度が高く危険な脆弱性である「優先順位ゼロ」と分類されているものもあった。ハッカーに悪用された場合、計り知れない被害が及びかねない。

 この脆弱性を発見したBirsan氏は米ZDNetに対し、「攻撃者が提出された脆弱性を見つけて悪用し、Googleのアカウントを狙って危険にさらすことも可能だったはずだ」と述べた。

 Birsan氏は自身のブログで、作成したGmailアカウントが、メールで認証する前に、任意の電子メールアドレス(Googleの企業アカウントを含む)に変更できるようになっていたと報告している。Birsan氏が作成した偽のGoogleアカウントで、同社のネットワークに直接アクセスすることはできない。だが、Issue TrackerにBirsan氏がGoogle社員だと認識させることは可能であり、同氏の権限を昇格させてバグレポートの参照や、問題についての通知やアップデートを受け取ることが可能になっていたという。また、各レポートに対するログインユーザーのアクセス権を適切に認証していないことによる問題についても指摘している。

 Birsan氏がバグを報告した後、1時間で同氏のアクセスは無効化され、脆弱性は修正された。非常に多数のアカウントを危険にさらす大規模な攻撃が実現する可能性は低いという。

 Birsan氏が発見した3つのバグについて、Googleはバグ発見を奨励するプログラムの下で1万5600ドルを支払っている。また、Issue Trackerの脆弱性について継続して調べることに対し、3133ドルの報奨金も付与された。Googleの担当者は、「Alex(Birsan氏)のバグ報告に感謝している。彼が報告した脆弱性については、関連する変種も含め、すでにパッチを当ててている」とコメントしている。

脆弱性
提供:file photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]